ISO 27001標準改版箭在弦上，先從ISO 27002新版草案變化看國際資安管理標準新走向

許多企業在推動資安防護管理的工作上，最廣泛採用的就是國際資訊安全管理標準ISO 27001，它是國際間認可的ISMS驗證標準，在管理與執行層面上，提供了可遵循與稽核的方向，特別的是，隨著資安管理標準的與時俱進，現行版本ISO 27001：2013的發布時間，與現在已相隔8年之久，因此，有許多企業都在關注一個問題：ISO 27001系列標準是否已到改版時刻？

簡單來說，ISO 27001系列包含兩套重要標準，以現行版本而言，一是可供實際驗證的ISO 27001:2013，另一套是ISO 27002:2013，則完全對應ISO27001:2013的附錄A，主要提供最佳實踐方式，包含具體的指引參考。

而就改版的狀態來看，在2018年3月，國際標準組織（ISO）已啟動了ISO 27002的改版計畫。

這項計畫到了最近半年，有更多進展。例如，自2021年4月草案（DIS）版本投票通過，在8月底開始登記最終草案（FDIS）版本，接下來將等待投票時間公布，然後再經歷為期8週的投票，以產生最終草案版本。

值得注意的是，儘管ISO 27002新版尚未出爐，從草案版本到最終草版發布之前，仍可能有變化，但從當前的草案版本來看，與現行2013年版本相比，已可看出一些未來國際標準制定走向。

距離上次改版已達8年，各界都很想知道新版定案、正式發布的時刻

關於這次國際標準改版的時程與現況，許多企業都很關心。

對此，SGS知識與管理事業群ISO 27001產品經理劉士弘表示，多久要改版，沒有明確硬性規範，但從過往各國際標準改版經驗，以及慣例來看，國際標準組織針對各個國際標準，每5年會審查一次，會有小幅更新，每8年則可能進行大幅度改版。

雖然，受到2020年延續至今的疫情影響，不過，劉士弘表示，從目前ISO 27002改版進度來看，他們在9月預測，新版ISO 27002 FDIS將在10月開始投票，正式發布FDIS版本的時間在12月。

此外，依照2013版本當時推出的經驗，從FIDS版發布到正式新版發布，只間隔10天，加上認為ISO 27001主條文內容可能變化不大，因此他們預估，ISO 27001與ISO 27002的新版發布，可能落在今年12月或是明年1月。

到底這次新版何時會發布？已經成為各界關注議題，對於詳細情形，BSI台灣分公司營運長謝君豪表示，BSI總部有代表參與相關標準改版會議，根據他們目前得知的最新消息，ISO 27002新版將延後到2022年1月發布。

至於驗證標準ISO 27001的改版，最近的10月正要開會討論改版事宜。因此，要等到表決通過，才會有明確的改版方向。而且，以過去的改版生命週期而言，需要有一定的時間進行相關的內容調整流程，加上不確定是否會大幅改版，因此改版所需時間的長短，可能等到11月後，才有更明確的資訊。

新版草案主要變化，集中在控制要求，有大幅綜合整理與新增

以ISO 27002新版草案的內容而言，有何不同變化？從目前的改版進度來看，可彙整成下列4大焦點。

首先，單就標題命名的方式上，就有很明顯的變動。以ISO 27001:2013為例，其採用的名稱為「資訊科技—安全技術—資訊安全管理系統—要求」，原本最前面是「資訊科技（Information Technology）」，未來將改為「資訊安全、網路安全及隱私保護」，英文全稱是「Information Security,Cybersecurity and Privacy protection」。

隨著名稱的適度調整，我們可以預期，新版標準在涵蓋廣度將有所增加，畢竟，資訊安全、網路安全與隱私的保護，在適用範疇上仍存在些許差異。

第二，控制要求的內容，將有大幅變動與新增。

依照目前ISO 27002新版草案的內容來看，對比現行版本，也就是對應原本的Annex A.5~A.18，新版草案對於控制要求與措施，將有大幅度的打散重整，並有多項新增。

具體而言，在控制類型上，新版草案畫分為4大控制類，暫時共有93項控制措施。這4大主題分別為：組織控制、人員控制、實體控制與技術控制。

特別的是，控制措施雖然看似比之前的108項要少，但劉士弘強調，相關的要求其實並未降低，原因在於，新版將控制措施有了更好的整併，因此，內容將是更為廣泛與深入。

根據SGS的觀察，新版控制措施將原有的56項，綜合整理為24項，另有58項無變動，特別的是還新增加了11項，僅刪除1項。

關於控制措施合併的方式，以新版合併的「變更管理」為例，劉士弘表示，以往企業處理這方面議題時，有點棘手，因為不管是組織自己導入或是顧問協助，關於變更管理的概念，其實分布在多個條文，例如：12.1.2「變更管理」、14.2.2「系統變更控制程序」、14.2.3「運作平臺變更後應用系統技術審查」，與14.2.4「軟體套件變更之限制」。新版草案則將原有的4項相關要求，綜合整理為1項，也就是8.23「變更管理」，直接包含了流程、人員、系統、平臺與軟體套件的變更。他認為，這樣的作法，將讓整個條文完整度與一致性更高，不像現行版本如此分散。

至於唯一將刪除的控制措施，只有現行版本提到的11.2.5「財產之攜出」，不過，劉士弘指出，要做的事情其實仍然存在，因為在新版的兩項控制措施中，就有場域外的資產保護與資訊刪除

新增11項控制要求，自動化工具執行成關鍵

新版草案的第三個焦點在於，除了控制措施的大幅整併，新增的項目更令企業在意。

關於上述ISO 27002新版草案新增的11項控制要求，分別是：威脅情資、雲端服務資安、資通訊技術營運持續整被、實體安全監視、組態管理、資訊刪除、資料遮罩、資料外洩防護、檢視活動、網站過濾與安全程式碼撰寫。

具體而言，在新版草案增加的控制要求有哪些重點？

例如，威脅情資將納入控制要求，劉士弘指出，在實作指引中，說明了有效威脅情資的4大特性，包括需與組織保護有關，讓組織可以對威脅有準確與詳細的了解，也要為情資添加情境，並且可以有效採取行動。

而隨著雲服務的應用越來越普遍，這些雲端服務的管理與使用，也納入管控規範，算是補強各界期待已久的缺口。在涵蓋面向中，包含雲服務風險識別與管理、使用政策、供應商協議，以及退出、變更與轉移的策略。

在實體安全監視方面，過去雖有相關規範，但具體要監控到什麼程度，並不明確，新版草案則有清楚的說明，將提升實體安全概念的強度提升。在實作指引中有3大重點，包括實體場域要有持續的監控，像是警衛、入侵警報與CCTV監控系統等，以及實體安全監控範圍是要涵蓋關鍵系統的建築物，還有監控強度要足夠，包括能追溯查看、入侵偵測與警報、防竄改與個資隱私合規。

關於組態管理方面，這是過去大家都很困擾的議題，因為涵蓋面向大，而新版草案增加這項控制要求的目的，是要協助做到符合組織安全政策要求，而管控重點是確保不被未經授權或錯誤變更。在其納管範圍，將包含軟體、硬體、服務、網路與安全的組態，同時也涵蓋組態模板、組態套用、變更管理，以及監視與審查等面向。

還有像是活動的控制要求，當中涵蓋了網路、系統和應用程式的異常行為監控，以及所需採取的行動，其實，此項新的控制要求隱含了資訊安全監控中心（SOC）的影子，這意味著，要有基礎的SOC機制在組織內運作。

至於安全程式碼撰寫方面，過去其實已有系統購置、開發及維護的控制要求，但唯獨少了軟體開發安全程式碼的層面，新版草案終於有所補強，將系統開發與資訊系統生命週期說明更清楚，要將安全程式碼撰寫原則定義出來。

值得注意的是，劉士弘認為，這次新版草案中所新增的許多控制措施，依據實作指引提供的方向來看，若企業無更多資源或是自動化工具，在執行上會相當辛苦。為何會如此？他認為，以往的控制措施，可採用技術或管理等手段來因應，對於預算或資源不足的組織而言，尚且可以透過管理方式達到管控。

資料來源：SGS，iThome整理，2021年10月

為讓組織能夠更有效運用控制措施，新定義5類屬性

最後，是在控制屬性的設計方面。

為了便於不同的對象或角色使用，讓控制措施可有不同視野角度，劉士弘表示，舊版ISO 27002所設計的屬性概念，未來改版將有大幅擴增。

原先，控制要求主要連結了資訊安全三要素CIA，也就是機密性、完整性與可用性，現在的設計，則是讓每一個控制要求，都會關連到5個不同定義的屬性值，透過豐富的屬性標籤，以利於搜尋與過濾分類。

這5種新出現的控制屬性，分別是：控制類型（Control Types）、資安特性（Information Security Properties）、網路安全概念（Cybersecurity oncepts）、執行能力（Operational Capabilities），以及安全領域（Security Domain）。例如：

●控制類型屬性：防護、偵測與矯正等（威脅發生前中後）

●資安特性屬性：機密性、完整性與可用性（CIA）

●網路安全屬性：識別、保護、偵測、回應與復原（NIST CSF）

●執行能力屬性：資產管理、人力資源安全、實體安全、系統與網路安全、應用程式安全、威脅與弱點管理、資安事件管理等15項

●安全領域屬性：治理生態系統、防護、防禦與韌性。這方面對應的是，組織所需要的資安領域、專業能力、服務或產品。

基本上，這些屬性標籤將能提供不同視角，讓組織能更有效運用這些控制措施。例如，若是機房管理者，可藉由屬性標籤，很快找到與實體安全相關的控制措施。此外，除了每一項控制措施都會預設5組屬性，在草案版本附錄A中，也說明了將有自定義的彈性與步驟，組織可依據需求定義自有屬性值，亦即建立更多檢視角度，來看控制措施的要求。

這次ISO 27001/ISO 27002的改版，有可能會擴大控制屬性所包含的概念。新版草案中的每個控制 措施，都一定會對應5種屬性，包括：控制類型、資安特性、網路安全概念、執行能力與安全領域， 同時也提供彈性，讓組織可定義自有屬性值。

除了符合資安基本要求，對於領域或產業需求已有更多參考指引

無論如何，儘管ISO 27001新版時程不定，而ISO 27002從草案版本到最終草案版本，內容也還是有可能大幅增修，但以現況來看，我們已可看出資安控制措施的內容，確實是朝向更符合全球威脅與資安現況。

對於目前ISO 27002新版草案的變化，BSI台灣分公司營運長謝君豪表示，ISO 27001與ISO 27002的關係，就像課本與參考書，從參考書的改變來看，我們可以發現其框架出現大幅度調整，從原先的14個章節統整為4大面向，包含組織、人員、實體與技術的構面，而現在國內政府推動資安時，也是提出從策略、管理、技術與認知面向出發。

對於控制措施的強化與新增，謝君豪表示，新的要求可以更符合現在所有企業面臨的風險，方便大家可用更宏觀的角度，來看待這些控制措施的運用。

此外，除了順應時勢，將新興資安議題納入，還有一些新增的控制措施，像是資料遮罩、資料外洩防護與網站過濾等，這些早已發展為資訊安全技術，對此，謝君豪表示，在過往的控制要求中，其實已有這樣的精神存在，只是新版草案用了不同的方式呈現要求，可以更符合現在的風險與管控。

事實上，對於全公司都要進行相關驗證的企業而言，很多被要求具備的控制內容可能都不會感到陌生，至於控管到位程度要做得多細緻，則將影響未來改版難易程度。但關鍵還是在於，企業導入這樣的標準時，出發點是否正確？若是企業導入只是為了驗證而驗證，僅以機房或小系統為範圍，企業關注這些新增控制措施，可能覺得窒礙難行，或是效果無法呈現。

論及國際資安標準的走向，從近年整個ISO 27000系列標準的發展，其實更能看出整體變化。謝君豪指出，ISO 27001與ISO 27002只是基本要求，而以ISO的現行策略來看，只要那個領域或產業有需求，就會額外提供相關標準或指引。

舉例來說，在現行ISO 27001/27002版本發布的2013年後，針對雲服務使用與資安控制，已經推出ISO 27017:2015與ISO 27018:2019，其他還有供應鏈、網路、應用程式，以及電信、關鍵基礎能源產業等，另也針對不同面向提供額外的參考方向，包括Big Data、區塊鏈、IoT、智慧製造、雲端運算等資安指引。

而在今明兩年，有兩個新增標準頗受關注，分別是針對事故管理的額外指引ISO/IEC WD 27035-4，以及對應NIST CSF的參考指引ISO/IEC TS 27110。

近期還有一項特別進展，那就是：BSI與ISO組織簽署發布「新倫敦宣言（The new London Declaration）」，當中承諾要確保全球標準支援氣候行動並推動國際倡議，聯合國亦大力支持。因此，未來ISO國際標準勢必將氣候變遷納入重要考量，而這不僅是特定企業、部門要關心的議題，企業IT也不例外，例如，大型機房能源管理所產生的碳排放，也將成為必須關注的面向。

2022年2月16日更新補充

關於國際標準ISO/IEC 27002:2022的發布時程，根據ISO網站揭露的資訊，於2021年12月17日進入發布階段，後續於2022年2月15日正式發布。